简介
Acunetix是全球排名前三的漏洞发现厂商,其全称(Acunetix Web Vulnerability Scanner)AWVS是业内领先的网络漏洞扫描器,其被广泛赞誉为包括最先进的SQL注入和XSS黑盒扫描技术。它能够自动爬行网站,并执行黑盒和灰盒测试技术,能够发现危险的漏洞。AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试,并通过内置的Web管理页面轻松完成管理工作,同时能够生成非常完善的渗透报告
优点
- 自动的客户端脚本分析器,允许对Ajax和Web2.0应用程序进行安全性测试
- SQL注入和跨站脚本测试
- 可以联合HTPP Editor和HTTP Fuzzer使用
- 丰富的报告功能,包括VISA PCI依从性报告
- Acunetix检索并分析网站,包括flash内容,SOAP和AJAX
- 端口扫描web服务器并对在服务器上运行的网络服务执行安全检查
- 智能爬行程序检测web服务器类型和应用程序语言,轻松检索成千上万的页面
工作原理
- 扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描,扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息
- 在上述的发现阶段或者扫描过程之后,AWVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程(用自定义的脚本去探测是否有漏洞) 。WVS分析每一个页面中需要输入数据的地方,进而尝试3所有的输入组合。这是一个自动扫描阶段
- 发现漏洞之后,AWVS就会在“Alerts Node(警告节点)”中报告这些漏洞,每一个警告都包含着漏洞信息和如何修补漏洞的建议
- 在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较,使用报告工具,就可以创建一个专业的报告来总结这次扫描
安装
#pull 拉取下载镜像
docker pull secfa/docker-awvs
#将Docker的3443端口映射到物理机的13443端口
docker run -it -d -p 13443:3443 secfa/docker-awvs
#容器的相关信息
awvs13 username: admin@admin.com
awvs13 password: Admin123
浏览器访问:https://127.0.0.1:13443/ 即可
AWVS页面简介
主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports
- Dashboard:仪表盘,显示扫描过的网站的漏洞信息
- Targets:目标网站,需要被扫描的网站
- Vulnerabilities:漏洞,显示所有被扫描出来的网站漏洞
- Scans:扫描目标站点,从Target里面选择目标站点进行扫描
- Reports:漏洞扫描完成后生成的报告
设置菜单功能介绍:设置菜单共有8个模块,分别为Users、Scan Types、Network Scanner、Issue Trackers、Email Settings、Engines、Excluded Hours、Proxy Settings
- Users:用户,添加网站的使用者、新增用户身份验证、用户登录会话和锁定设置
- Scan Types:扫描类型,可根据需要勾选完全扫描、高风险漏洞、跨站点脚本漏洞、SQL 注入漏洞、弱密码、仅爬网、恶意软件扫描
- Network Scanner:网络扫描仪,配置网络信息包括地址、用户名、密码、端口、协议
- Issue Trackers:问题跟踪器,可配置问题跟踪平台如github、gitlab、JIRA等
- Email Settings:邮件设置,配置邮件发送信息
- Engines:引擎,引擎安装删除禁用设置
- Excluded Hours:扫描时间设置,可设置空闲时间扫描
-
Proxy Settings:代理设置,设置代理服务器信息
image-20.png
AWVS使用
添加网址
进入扫描设置页面,根据项目需求,配置信息,点击scan开始扫描
设置扫描选项,一般选择全扫,也可以根据你的需求设置扫描类型,设置完成后执行扫描
执行扫描后,自动跳转到仪表板,可以查看扫描过程中发现的漏洞情况
点击Vulnerabilities进入漏洞列表页面,这里可以导出扫描报告 AWVS将漏洞分为四级并用红黄蓝绿表示紧急程度,其中红色表示高等、黄色表示中等、蓝色表示低等、绿色表示信息类
点击选择一个漏洞,点击进入可以看到AWVS给出的详细描述 AWVS给出了漏洞详细描述信息,包括:Vulnerability description(漏洞描述)、Attack Details(攻击详细信息)、HTTP Request (http请求)、HTTP Response (http响应)、The impact of this vulnerability(此漏洞的影响)、How to fix this vulnerability(如何修复此漏洞)、Classificationa(分类)、Detailed Information(详细信息)、Web References web(引用)
CWE:CommonWeakness Enumeration,是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。 比如上图中CWE-89表示的是 这个bug是CWE列表中第89号常见弱点
CVSS: Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”
CVSS评分系统中规定:漏洞的最终得分最大为10,最小为0。得分7-10分的漏洞通常被认为比较严重,得分在4-6.9分之间的是中级漏洞,0-3.9分的则是低级漏洞。其中,7~10分的漏洞都是必须要修复的
AWVS报告导出
在扫描页面选择报告类型,点击导出
在报告页面可选择要下载的报告格式类型,包括pdf和html AWVS在扫描结束后还可以根据不同要求不同阅读方式,可生成不同类型的报告和细则,然后点击导出报告图标即可导出此次安全扫描报告
验证漏洞的真实性
SQL盲注/SQL注入
指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,获取数据库信息
验证方法:利用sqlmap,GET、POST方式可以直接sqlmap -u “url”,cookie SQL注入新建txt文档把请求包大数据复制粘贴到里面,再利用sqlmap -r “xxx.txt”,查寻是否存在注入点
sqlmap使用教程可以参考:点击这里
CSRF跨站伪造请求攻击
利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作
举例说明:用户如果浏览并信任了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情况下,访问了危险网站B 。危险网站B要求访问网站A,发出一个请求。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求,所以就会处理危险网站B的请求,这样就完成了模拟用户操作的目的
验证方法
- 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险
- 使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面
HTTP缓慢拒绝服务攻击
以极低的速度往服务器发送HTTP请求。由于Web Server对于并发的连接数都有一定的上限,因此若是恶意地占用住这些连接不释放,那么Web Server的所有连接都将被恶意连接占用,从而无法接受新的请求,导致拒绝服务。要保持住这个连接,RSnake构造了一个畸形的HTTP请求,准确地说,是一个不完整的HTTP请求
漏洞验证:参考这里
源代码泄露
攻击者可以通过分析源代码来收集敏感信息(数据库连接字符串、应用程序逻辑)
验证方法:在url后加/.svn/all-wcprops或者使用工具SvnExploit测试
文件信息泄露
开发人员很容易上传一些敏感信息如:邮箱信息、SVN信息、内部账号及密码、数据库连接信息、服务器配置信息,导致文件信息泄露
框架注入、链接注入
框架注入是一个所有基于GUI的浏览器攻击,是由于脚本没有对它们正确验证,攻击者有可能注入含有恶意内容的frame或iframe标记
链接注入是修改站点内容的行为,其方式为将外部站点的URL嵌入其中,或将有易受攻击的站点中的脚本的URL嵌入其中。将URL嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身
验证方法:通过对网站中的get提交的url中的参数进行框架或者链接注入,注入到参数id
允许TRACE方法
TRACE方法是HTTP协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击
验证方法:利用bp截包,将GET改为TRACE,单次发包,看是否会提醒保存文件,有的话,就存在
Struts2远程命令
使用缩写的导航参数前缀时的远程代码执行漏洞,常见的有Struts2远程命令执行S2-045、Struts2远程命令执行S2-016、Struts2远程命令执行S2-019、Struts2远程命令执行S2-033、Struts2远程命令执行S2-037
验证方法:把url粘贴到K8中,获取信息运行,如果是Windows系统就用ipconfig等命令,如果是Linux系统就用ifconfig看是否能执行,可以的话存在
IIS文件解析代码执行
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件,攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击
验证方法:链接后面加上.php格式,仍然能解析并且执行,则证明存在
总结
AWVS给出的扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议。总的来说我们可以借助这个工具来进行扫描分析,但不能完全依赖于这个工具
